《网络安全加固方案》由会员分享,可在线阅读,更多相关《网络安全加固方案(38页珍藏版)》请在金锄头文库上搜索。
1、 一.加固范围1.1主机加固主机服务器操作系统:windows,linux等。1.2网络设备加固交换机,路由器等网络设备。二.加固流程1.windows主机安全加固1.1 账户管理1.1.1 用户管理序号用户管理检查确认1停用guest帐号:以防止未授权的用户访问。默认停用,检查确认。2限制不必要用户的数量:除日常使用、管理用帐号外,停用其他不必要的帐号、删除废弃帐号3重命名administrator帐号:重命名administrator帐号,创建一个低权限的名为“administrator”的本地帐号,设置复杂密码,作为陷阱帐号。方法:控制面板管理工具计算机管理本地用户和组1.1.1.1 弱
2、口令修改使用口令猜测工具扫描计算机的弱口令帐户,并根据扫描结果,提交用户修改.1.1.1.2 密码策略序号策略设置检查确认1密码必须符合复杂性要求启用2密码长度最小值6位3密码最长存留期30天4密码最短存留期5密码强制历史5次方法:控制面板管理工具本地安全策略帐户策略1.1.1.3 帐户锁定策略序号策略设置检查确认1复位帐户锁定计数器20分钟2帐户锁定时间20分钟3帐户锁定阀值3次方法:控制面板管理工具本地安全策略帐户策略 第 38 页 共 38 页1.1.2 本地策略1.1.2.1 审核策略:序号策略设置检查确认1审核策略更改成功 失败2审核登录事件成功 失败3审核对象访问失败4审核过程追踪
3、5审核目录服务访问失败6审核特权使用失败7审核系统事件成功 失败8审核帐户登录事件成功 失败9审核帐户管理成功 失败方法:控制面板管理工具本地安全策略本地策略1.1.3 服务1.1.3.1 关闭不必须的服务序号服务设置说明1Alerter手动提供管理性的警告功能,通过NetSend命令2Application Management手动提供软件安装服务,诸如分派,发行以及删除3ClipBook己禁用通过网络共享剪贴板中的内容4Computer Browser手动维护网上邻居的计算机列表(局域网内仅需启用一台)5DHCP Client已禁用手动配置网络设置时,禁用此服务6Distributed l
4、ink tracking client手动局域网文件、资源连接信息更新(较耗内存)7Distributed Transaction Coordinator手动SQL Server使用8Error reporting service己禁用发送错误报告给微软9Fax己禁用提供传真功能10Indexing Service己禁用很耗资源的目录索引服务,应禁用11Internet Connection Sharing手动用于Internet连接共享12IPSEC Policy Agent手动用于IP安全协议(IPSEC),VPN、无线等用13Logical Disk Manager手动用于支持磁盘管理控
5、制,设置成手动,需要时启动14Logical Disk Manager Administrative Service手动15Messenger手动和Alerter服务一同使用,与MSN没有关系16Net Logon手动只用于在基于域的网络中登录17NetMeeting Remote Desktop Sharing已禁用允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。18Network Connections手动管理“网络和拨号连接”文件夹中对象19Network DDE已禁用动态数据交换。ClipBook服务时少数几个使用网络DDE的程序之一。禁用以防被远程启动20
6、Network DDE DSDM已禁用21NT LM Security Support Provider手动提供RPC连接的验证,极少用,Exchange Server使用22Performance Logs and Alerts手动配置性能日志和警报23Portable Media Serial Number Service手动获取连接到计算机上的便携音乐播放器序列号,向播放器传送受保护的内容时需要这个序列号24QoS RSVP手动为应用程序提供QOS,常见的为NetMeeting25Remote Access Auto Connection Manager已禁用常用于自动拨号到ISP,非拨
7、号用户可禁用26Remote Access Connection Manager手动创建网络连接并管理网络连接文件夹27Remote Desktop Help Session Manager已禁用远程协助功能,WinXP用,危险且耗资源,应禁用28Remote Procedure Call (RPC) Locator手动帮助网络上其他计算机发现这台计算机上的基于RPC的程序,不常见。29Remote Registry Service已禁用远程修改注册表,危险的操作,应禁用30Removable Storage手动管理脱机存储媒体,一般用于磁带备份等31Routing and Remote Ac
8、cess已禁用在局域网以及广域网环境中为企业提供路由服务32Smart Card手动用于支持智能卡身份验证硬件33Smart Card Helper手动34TCP/IP NetBIOS Helper Service手动提供NetBIOS名字管理35Telephony手动支持调制解调器的连接36Telnet已禁用提供通过远程命令行对系统的访问37terminal services已禁用实现远程登录本地电脑,快速用户切换和远程桌面38Uninterruptible Power Supply手动管理连接到计算机的不间断电源(UPS)39Windows Installer手动管理Windows安全程序
9、(.msi)40Windows Management Instrumentation Driver Extensions手动与驱动程序间交换系统管理信息41Windows Time手动时间同步服务说明: 以上服务列表基于Win2000系统,也包括WinXP中少量危险的服务 以上未提及的服务为重要的系统服务,保持默认的自动设置,应用程序的服务请按情况设置 以上列表中多数服务默认情况下已经为手动启动,检查确认 配置方法:在“运行”中输入“services.msc”或者:控制面板计算机管理服务,中进行相应的修改1.1.4 网络协议1.1.4.1 删除TCP/IP外的其他网络协议:删除TCP/IP外的
10、NETBEUI,IPX/SPX等其他协议,删除文件和打印共享方法:本地连接属性1.1.4.2 解除NetBios与TCP/IP协议的绑定:减少NetBios漏洞的攻击企图和系统信息泄漏方法:本地连接属性TCP/IP属性高级WINS禁用TCP/IP上的NetBios1.1.4.3 使用TCP/IP筛选限制端口:UDP协议和ICMP协议一样是基于无连结的,一样容易伪造,所以如果不是必要(例如要从UDP提供DNS服务之类)应该选择全部不允许,避免受到洪水(Flood)或碎片(Fragment)攻击最右边的一个编辑框是定义IP协议过滤的,我们选择只允许TCP协议通过,添加一个6(6是TCP在IP协议中
11、的代码,IPPROTO_TCP=6)方法:本地连接属性TCP/IP属性高级选项TCP/IP筛选1.1.5 注册表设置1.1.5.1 关闭默认共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters序号键值类型值说明1添加键值AutoShareServerDWORD0关闭C$等共享2添加键值AutoShareWKSDWORD0关闭ADMIN$共享注册表项1.1.5.2 减少DDOS攻击的影响1.1.5.3 注册表项: HKLMSystemCurrentControlSetServicesTcpipParam
12、eters序号键值类型值说明1SynAttackProtectDWORD22EnableICMPRedirecDWORD03SynAttackProtectDWORD24EnableDeadGWDetectDWORD05EnablePMTUDiscoveryDWORD06KeepAliveTimeDWORD300,0007DisableIPSourceRoutinDWORD28TcpMaxConnectResponseRetransmissionsDWORD29TcpMaxDataRetransmissionsDWORD310PerformRouterDiscoveryDWORD011TCPM
13、axPortsExhaustedDWORD51.1.5.4 处理HTTP/FTP半连接请求注册表项: HKLMSystemCurrentControlSetServicesAFDParameters序号键值类型值说明1DynamicBacklogGrowthDeltaDWORD102EnableDynamicBacklogDWORD13MinimumDynamicBacklogDWORD204MaximumDynamicBacklogDWORD200001.1.5.5 禁用CD-ROM的自动运行防止恶意程序的自动加载运行,防止病毒等的扩散。HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer序号键值类型值说明1NoDriveTypeAutoRunDWORD0xFF1.1.5.6 删除OS2、P
